Chytré hračky na vzestupu
Když se řekne kapesní počítač, představí si většina v technice se orientujících lidí klasické PDA. Tedy přístroj podobající se (z laického hlediska) kapesnímu zrcátku či tabulce, ovládaný prostřednictvím pera a dotykového displeje. Ve skutečnosti je ale spektrum toho, co se dá považovat za přenosné počítače, mnohem širší. Mezi tato zařízení patří mobilní telefony, a to zdaleka nejen ty, které jsme si zvykli označovat jako "chytré", tedy vybavené operačním systémem. Dále pak část MP3 přehrávačů, multifunkční přístroje a dokonce i některé digitální fotoaparáty. Podstatné přitom je, že dané zařízení umí zpracovávat informace, které do něj lze ukládat a následně z něj také nějakým způsobem dostat ven. Podstatným faktorem je i to, že zařízení umí komunikovat se svým okolím.
Ještě před několika lety byla chytrá zařízení, víceméně omezená skutečně jen na PDA, doménou technologických profesionálů nebo manažerů movitějších firem. V současnosti se s nimi můžeme setkat prakticky na každém kroku. Mít nějakou inteligentní hračku je nejen možné, ale pro průměrného teenagera, který chce být in, se jedná přímo o nezbytnost.
Se vzestupem zařízení, která můžeme označit jako přenosné počítače, dochází také k raketovému nárůstu významu jejich zabezpečení. Přenosná zařízení používají laici. Právě ti se velmi často nechávají ukolébat dojmem, že jediným skutečným problémem je, aby jim jejich hračku nikdo neukradl. To je chyba. Skutečnost, že máme nějaký přístroj bezpečně uložený v pouzdře či v kapse a že si jej hlídáme ani zdaleka neznamená, že tento přístroj není vystaven rizikům okolního světa. S výjimkou skutečných hraček přitom navíc platí, že obsah přístroje - data - je ve skutečnosti mnohem cennější než přístroj sám. V případě databank a PDA přitom často dojde na další oblíbený omyl. Totiž, že zabezpečení zařízení, například pomocí hesla, zabrání zneužití jeho obsahu i v případě, že skutečně dojde k odcizení nebo prostě ke ztrátě. To je přitom omyl nejen velmi ošklivý, ale především nebezpečný. Ve skutečnosti mnoho hesel a dalších základních prostředků zabezpečení přenosných zařízení, jakkoliv mohou vypadat solidně, žádnou jistotou pro jejich obsah nepředstavuje a přístroj ubrání nanejvýše před nájezdem úplného laika.
Patnáct let mobilních počítačů
Ačkoliv se zařízeními typu PDA, neboli s kapesními počítači vybavenými dotykovou obrazovkou a ovládanými perem, se v několika posledních letech můžeme běžně setkávat i u nás, ve skutečnosti se jedná o vynález starý prakticky patnáct let. To, co se u těchto zařízení v poslední době výrazně zlepšilo, kromě barevných displejů, výpočetní síly a multimediálních vlastností, je v první řadě schopnost komunikovat. Původní PDA byla zcela odkázána na počítač, ke kterému se připojovala. Externí komunikace byla závislá na nedokonalém, velmi problematickém a pomalém infračerveném rozhraní. Jelikož mnoho v současnosti požadovaných funkcí kapesních počítačů komunikaci vyžaduje, byla tato zařízení vybavena různými metodami, jak si vyměňovat informace s okolím. K těm nejpoužívanějším patří bezdrátová rozhraní na krátkou (Bluetooth) nebo střední (Wi-Fi) vzdálenost. K nim se stále častěji přidává schopnost komunikovat s některou z globálních (GSM) komunikačních sítí.
Vzhledem k tomu, že moderní PDA jsou počítače vybavené standardizovaným operačním systémem, množstvím adresovatelné paměti a rychlým procesorem, otevírá se zdokonalením jejich komunikace nejen pestrý svět informačních aplikací, ale také Pandořina skříňka obrovských potenciálních rizik.
Chytré telefony, vybavené operačním systémem, možností instalovat další aplikace a schopné softwarově zasahovat do vnitřních funkcí zařízení jsou podstatně mladší než PDA. Právě pro svou vizuální a funkční podobnost s klasickými mobilními telefony ale nacházejí více uživatelů z řad lidí, kteří by si PDA nepořídili. Přesto pro mnoho jejich vlastností platí totéž, co pro kapesní počítače. Jestliže svět stolních PC a části serverů spoléhá nejvíce na operační systémy Microsoft Windows, pak v dostupných chytrých telefonech určených široké veřejnosti najdeme Symbian. Toto prostředí je vzdáleným potomkem operačního systému Epoc, který byl původně vytvořen pro PDA firmy Psion a následně upraven pro podmínky mobilních přístrojů (dokonale mu to sedlo). Jedná se o standardní a velmi vyspělý operační systém se vším, co k němu patří. Tedy včetně podpory programátorů aplikací.
Co z toho vyplývá? Obliba kapesních asistentů a chytrých telefonů vede k tomu, že mnoho lidí u sebe nosí de facto běžný programovatelný počítač. Jejich počítač může komunikovat s okolím a je napěchován pro tyto uživatele důležitými informacemi (jinak by je u sebe nenosili). Svět PC připojených k internetu je světem nekonečného boje mezi autory nejrůznějších škodlivých kódů, virů, červů, malwaru. Svět přenosných zařízení na podobnou invazi zatím pouze čeká a někteří odborníci se domnívají, že se ji nikdy nedočká. Ve skutečnosti ale existuje důvod k obavám, přesněji jich je hned několik. V následující části si je pokusíme přiblížit.
Hrozby pro kapesní zařízení
Jak již bylo řečeno, většina chytrých kapesních přístrojů jsou de facto počítače, vybavené operačními systémy a schopností komunikovat s okolím. Zároveň jsou ale naplněny informacemi, a co víc - mohou, zejména v případě chytrých telefonů, využívat různé telekomunikační služby. Mezi ně se řadí telefonování prostřednictvím GSM, posílání SMS a využití datových přenosů. U PDA či komunikátorů pak jde zejména o připojování k přístupovým bodům Wi-Fi, u všech těchto zařízení pak o vzájemnou komunikaci prostřednictvím rozhraní Bluetooth. Podobně jako se u PC objevil fenomén dialerů (podvodných programů, které přesměrovávaly telefonování na drahé placené linky a okrádaly tak uživatele), může se kdykoliv něco podobného objevit i u komunikátorů, respektive chytrých telefonů. Viry a červi v klasické podobě pak již na PDA známe a společně s nimi dokonce i antivirové programy a ochranné nástroje. Nejsou ovšem tak využívané jako na PC. Z toho ovšem vyplývá, že s příchodem hrozeb pro tato zařízení je nutné začít se jim bránit. Podobně jako v případě klasických PC i pro mobilní zařízení platí, že je důležitější prevence útoku než řešení jeho následků. Nejprve si tedy znovu vyjmenujme hlavní rizika, která u nich existují.
Šíření škodlivého kódu prostřednictvím komunikační sítě
Červi, šířící se prostřednictvím komunikační sítě, jsou v prostředí chytrých telefonů s operačním systémem Symbian již reálně existující hrozbou. Systém sice obsahuje mechanismy, které jsou určeny k tomu, aby jejich šíření zabránily, nicméně účinnost těchto mechanismů je omezená. Instalace nového programu do chytrého telefonu může být provedena pouze manuálně a pokud není program vybaven příslušným certifikátem, dokonce až po několikerém potvrzení, avšak mnoho uživatelů tuto skutečnost ignoruje. Tak může být libovolný chytrý telefon infikován například červem Mabir. Ten je schopen se šířit prostřednictvím služby multimediálních zpráv MMS, stejně jako lokálním připojením pomocí technologie Bluetooth. Druhý způsob přichází v úvahu zejména pokud žijete ve velkém městě a pohybujete se veřejnou dopravou, kde lze předpokládat výskyt dalších podobných zařízení.
Starší verzí tohoto červa je Cabir (Caribe). Ačkoliv se šíří výhradně pomocí rozhraní Bluetooth, jedná se o poměrně nepříjemný a nebezpečný kód, existující navíc v mnoha různých verzích a podobách. Je možné na něj reálně narazit například v pražském metru.
Také pro zařízení s operačními systémy Windows CE a Palm OS se již objevily škodlivé kódy, šířící se prostřednictvím komunikačního rozhraní, ačkoliv je jich relativně méně. Existují červi vytvářející zadní vrátka do počítačů nebo mazající obsažená data. Rozšíření je ale zatím (naštěstí) minimální a velmi podmíněné. Přes standardizované operační systémy totiž stále existují rozdíly ve vybavenosti a specifikaci jednotlivých přístrojů. Kód (zejména pokud nejde o zcela korektní program), který funguje na jednom PDA, nemusí fungovat na jiném. Především ve světě mobilní platformy Microsoftu ale platí, že unifikace vnitřního prostředí postupuje mílovými kroky. Počítače se tak stávají v zájmu kompatibility fyzicky velmi podobnými a z hlediska aplikace velmi přehlednými přístroji. Rozdíly mezi nimi najdeme daleko více v designu nebo v osazení speciálními technologiemi, případně ve velikosti paměti. Tím se pravděpodobnost vzniku úspěšné nákazy v dohledné době silně zvyšuje.
Trojští koně
Výhodou mobilního trojského koně je, že nemusí obsahovat žádnou šířící se rutinu. Trojský kůň je program, který se snaží vypadat jako něco jiného, než je. To ovšem neznamená, že nemůže působit problémy. Například cracknutá verze oblíbené hry Mosquito pro systémy Symbian Series 60 rozesílala textové zprávy na čísla s vyšší tarifikací. O tom uživatelé samozřejmě nevěděli, než jim přišlo vyúčtování od telekomunikačního operátora. Podstatně méně škodícím, ale také velmi nepříjemným kódem byl program Skulls. Jeho instalace do mobilního telefonu prakticky znemožní další používaní tohoto zařízení. Obdobný efekt má i program Hobbes, vydávající se za antivirový produkt, který se navíc umí i šířit.
V prostředí operačních systémů kapesních počítačů jsou trojští koně spojeni především s pirátskými verzemi komerčních aplikací. Například některé pirátské verze oblíbeného kalendáře Pocket Informant pro Windows CE obsahují funkci, která po uplynutí určité doby od synchronizace zařízení smaže veškerý jeho obsah. Analogické věci je možné najít i ve hrách a dalších programech. Soubor se závodní hrou pro Palm OS například obsahoval funkci neustále měnící systémové datum a čas kapesního počítače na nesmyslné hodnoty. To dosti komplikovalo použití PDA, především jeho funkcí pro plánování času, ale také dalších nástrojů.
Podobným způsobem nejsou postiženy jen PDA a chytré mobilní telefony. Například konzola Playstation Portable obsahuje (kromě jiného) ochranu před spuštěním jiných než oficiálních aplikací. Tato ochrana, vada na kráse jinak nesmírně chytrého a užitečného zařízení, se stala cílem hackerů a předmětem několika aktualizací ze strany výrobce. Některé z nástrojů pro její odblokování přitom mohou způsobit dokonce vyřazení přístroje z provozu. I když náprava je pochopitelně možná, její faktické provedení je problematické. Změna obsahu a narušení ochrany přístroje totiž znamená ztrátu záruky a je otázkou, jak se k opravě takto "poškozeného" zařízení bude stavět autorizovaný servis výrobce. Naděje, že by v dohledné době bylo možné provést obnovení podobným způsobem jako u mobilních telefonů, tedy v běžně dostupném neznačkovém servisu, je spíše iluzorní.
Útok proti informacím, obsahu a službám
Přístroje, které obsahují funkční bezdrátové rozhraní, mohou být vystaveny útoku jak samostatně se šířícího červa, tak i živého hackera. Ten hrozí nejvíce tam, kde je na jednom místě více lidí s chytrými zařízeními. Některé přístroje - komunikátory, PDA, ale i běžné telefony - přitom obsahují nedostatečné zabezpečení, kdy je možné například obejít nutnost autorizovat zařízení, které komunikuje prostřednictvím rozhraní Bluetooth dříve, než dostane přístup ke službám telefonu. Díky tomuto nedostatku je možné mobilní telefony dálkově využít (na účet jejich majitele) například pro připojení k internetu nebo vykradení uložených dat, či posílání SMS na čísla se zvýšenou tarifikací.
Podobným problémem mohou trpět i PDA, zejména pokud se na ně útočníkovi povede instalovat zadní vrátka. Rozdíl oproti chytrým telefonům spočívá v tom, že PDA může obsahovat mnohem více cenných a citlivých informací, jako jsou například čísla účtů, přihlašovací údaje k různým službám, PIN. Ale může jít i o kancelářské dokumenty, doklady z účetnictví a podobně. Nabídka je zde velmi bohatá. Útočníka je přitom extrémně obtížné, ve většině případů nemožné vypátrat, i když musí být své oběti neustále nablízku.
V dobách, kdy se v českých (ale samozřejmě nejen našich) končinách rozšířily telefony s technologií Buletooth, stal se velmi populárním (zejména ve velkých městech) tzv. BlueJacking. V podstatě nejde o nic jiného, než posílání různých veselých zpráv na zařízení s aktivním bez-
drátovým přístupem v dosahu. Postupem času se objevilo několik metod, jak to provádět sofistikovaněji, například prostřednictvím speciálních programů. BlueJacking se rozšířil hlavně tam, kde je útok na uživatele či zařízení pomocí této metody nejsnazší - tedy ve velkých městech. Nicméně na internetu se objevily postupy, které jeho účinnost, společně s již uvedenými aplikacemi, násobily. Jedním z těchto postupů byla například úprava běžně dostupného bezdrátového adaptéru, používaného jako periferie k PC a notebookům (v jiné verzi i k některým jiným přenosným zařízením). Adaptér byl po úpravě schopen komunikovat s velmi vzdálenými přístroji. Tím došlo jak k porušení bezdrátového standardu a samotného smyslu Bluetooth jako komunikace na malou vzdálenost, tak k možnosti efektivně napadat a poškozovat uživatele v relativně méně obvyklých místech. Například v centru Ostravy se jednu dobu bylo možné setkat se zařízením, které na mobilní telefony formou elektronické vizitky rozesílalo reklamní materiál a kontakt nejmenované firmy. Není pochopitelně vyloučeno, že se podobná zařízení objevila či stále objevují i jinde.
Krádeže zařízení
I přes zmíněné velmi sofistikované útoky zůstává prosté ukradení přístroje s důležitými daty a potažmo s penězi největším rizikem. Mnoho uživatelů nepoužívá dostatečné zabezpečení heslem, PIN nebo (pokud to zařízení umožňuje) biometrickým údajem. Výsledkem je, že útočník (v tomto případě zloděj) má prakticky okamžitý přístup ke všem údajům v ukradeném PDA nebo komunikátoru.
I pokud je základní zabezpečení přístroje využíváno, neznamená to, že je v bezpečí. Zejména u PDA je možné základní zabezpečení dodané výrobcem obcházet. To platí především pro počítače se staršími verzemi operačního systému Palm OS. Pro ně ale existují přídavné aplikace, zajišťující vyšší úroveň zabezpečení. Tedy šifrování a preciznější autentizaci. Příkladem takového programu je TealLock (www.tealpoint.com/data/datalock.htm) od společnosti Teal Point. Existují ale jak lepší (a dražší) varianty, tak i bezplatné alternativy. Skutečné zabezpečení informací ovšem nezávisí jen na faktu, že podobným softwarem disponujeme, ale především na tom, jak se používá, jak je konfigurován a zda funguje opravdu efektivně.
Jestliže jsou data v paměti přístroje šifrovaná a přístroj je uzamčen, snižuje se riziko jeho zneužití v takovém stavu, v jakém jej používal jeho původní majitel, na minimum. Snaha obejít firemní zajištění u přístrojů s Pocket PC vede ve většině případů sice k úspěchu, ale také k vymazání velké části paměti. Některá zařízení jsou v tomto ohledu napadnutelná snáze, jiná hůře. U Palm OS dochází, pokud se útočník pokusí překročit přídavné zajištění, k likvidaci obsahu paměti (většinu existujících zařízení není možné trvale a bezpečně uzamknout). Tento stav znamená obvykle ochranu dat před jejich vyzrazením.
Pokud se ale pokouší k informacím dostat zkušený uživatel, který ví, co má hledat a jak to použít, existuje stále riziko překonání i velmi bezpečného zajištění. Lapidárně řečeno, toto riziko spočívá v možnosti kopírovat obsah přístroje do běžného počítače.
U běžně dostupných, tedy sériově vyráběných přístrojů, které můžete koupit v obchodní síti, nelze zaručit takovou ochranu dat, která by potenciálnímu zloději zcela znemožnila se k nim dostat. Je jedno, jak silné heslo ve svém iPaqu máte, zda je váš Palm vybaven přídavným šifrovacím programem. Pokud se takový přístroj dostane do laboratoře, která je vybavena na jeho odblokování a má s daným typem zařízení zkušenosti, je veškerá ochrana marná. Vaše PDA ale v případě ukradení takto dobře vybavený a erudovaný odborník do ruky nedostane.
Podobný problém jako s ukradeným PDA existuje i ve zdánlivě mnohem banálnějším případě. Kapesní zařízení někomu prodáte, ale předtím data nevymažete. Důvodem podobného postupu před prodejem přístroje bývá například sna-
ha některých uživatelů nahrát budoucímu majiteli chytrého telefonu či kapesního počítače co nejvíce programů, a tak zvýšit jeho cenu. Skutečnost, že se jedná většinou o pirátský software, který je sám o sobě rizikem, většinou nic na dobrém dojmu z takového přístroje nemění. Kromě programů ale v přístroji zůstává velmi mnoho informací o jeho původním majiteli. Zkušený útočník či zločinec je schopen původního držitele kapesní hračky vydírat na základě několika málo informací z běžné agendy, která se v takových zařízeních obvykle vede. Z toho vyplývá, než zařízení komukoliv prodáte, je nutné ho kompletně vymazat. To platí nejen pro běžnou paměť PDA či mobilů (tvrdý "hard" reset je nutností), tak zejména pro úložiště, která jsou považována za trvalá. Tedy paměťové karty, interní flashdisky nebo dokonce pevné disky, jsou-li v mobilních počítačích a přístrojích zabudovány.
Jak se chránit?
Podobně jako si nedovedeme PC představit bez antivirového systému a většina i laických uživatelů již tuší, že je vhodné dodržovat jisté základy bezpečného chování vůči informačním technologiím, čeká nás v dohledné době něco podobného i u jejich mobilního, inteligentního provedení. Jaké jsou základní zásady bezpečnosti u kapesních počítačů (PDA) a chytrých telefonů/komunikátorů? Není jich mnoho a nejsou nijak náročné.
Antivirové programy
Existují od několika dodavatelů, ale pokud vaše zařízení neobsahuje extrémně důležitá data, není je zatím nutné cíleně používat. Jedná se o komerční aplikace, za které je nutné zaplatit. Vhodná prevence ale nutnost jejich použití eliminuje.
Příklad:
• Antivirus pro komunikátory: http://mobile.f-secure.com/fsc/retail
• Aplikace pro kapesní počítače: www.symantec.com/sav/handhelds
Antivirový program, podobně jako jeho kolega na běžném PC, je funkční jedině v případě, že je i aktuální. Proto je nutné i u programů pro přenosná zařízení zajistit jejich aktualizaci. Ta je většinou jednodušší, má-li samo zařízení přístup k internetu. Pokud ne, je možné ho aktualizovat v průběhu synchronizace s PC či jiným přístrojem, nebo přeinstalováním antiviru. Skutečnost, že škodlivých kódů pro přenosné systémy není zatím tolik, neznamená, že váš přístroj nemusí napadnout právě ten, který zatím uložená verze antivirového software nedokáže najít, protože ho nezná.
Omezení bezdrátových adaptérů
Kromě toho, že zbytečně zapnutý adaptér Wi-Fi či Bluetooth konzumuje baterii přenosného zařízení, může být zdrojem nákazy nebo útoku proti němu. Vypněte bezdrátový adaptér, pokud jej nepoužíváte. Pokud z nějakého důvodu potřebujete, aby byl neustále zapnutý, nastavte zařízení tak, aby pro nespárovaná zařízení nebylo viditelné.
Kapesní počítače umožňují výběr služeb, které mohou a nemohou být bezdrátově dostupné. Nastavte je tak, aby byly dostupné jen ty služby, které skutečně potřebujete, ale žádné ostatní. Také je vhodné komunikovat pomocí Bluetooth pouze s ověřenými (spárovanými) zařízeními.
Wi-Fi (802.11) se stejně jako Bluetooth může stát zdrojem útoku proti zařízení. Okruh, ve kterém je kapesní počítač dosažitelný, je v případě této technologie mnohem větší než v předchozím případě - úměrně tomu roste i riziko. Pokud je na vašem handheldu Wi-Fi aktivní, používejte vždy jen chráněné spojení (pomocí technologie WPA), a to spojení s důvěrnými body či přístroji. PDA nebo komunikátor by měl ignorovat příchozí spojení z jakýchkoliv jiných přístrojů, pokud možno by pro ně měl být neviditelný. I pro Wi-Fi platí, že vhodnější je používat ho jen v případě potřeby, pak je vhodné z bezpečnostních důvodů i pro úsporu baterie bezdrátový adaptér vypnout.
Zvláštní druh rizika, které navíc nelze v případě přenosných zařízení zcela odbourat, představují falešné přístupové body. Nejčastěji se s nimi můžeme setkat v rámci technologie Wi-Fi, mohou se ale objevit prakticky u jakéhokoliv druhu bezdrátového systému výměny dat (jak dokazuje spisovatel Terry Pratchett, dokonce i optického). Ačkoliv riziko připojení k pirátskému bodu je možné zabezpečením a správným nastavením parametrů spojení minimalizovat, šance na jeho úplnou eliminaci nejsou zcela stoprocentní. Podle běžného typu připojení je navíc možné s potenciálním útočníkem například sdílet všechna data nebo mu umožnit přístup k vnitřním funkcím zařízení.
Neinstalujte, co neznáte
Aplikace, především pak pirátské verze komerčních programů, jsou nejvděčnějším zdrojem nákaz mobilních přístrojů. Sází totiž na skutečnost, že drtivá většina jejich uživatelů, na rozdíl od uživatelů PC, není vybavena antivirovým programem, který by riziko odhalil a již v počátku odfiltroval. Především u komunikátorů, které mohou navazovat spojení s placenými službami, tedy u všeho, co má v sobě GSM modul, je nutné dávat pozor. Zařízení umí odesílat SMS nebo navazovat spojení, aniž by na to uživatele upozornilo. Platí to dokonce i v případě, že přístroj uživatele na spojení běžně upozorňuje. Kromě toho, že používat cracknuté programy je nelegální, je to také velmi nebezpečné - proto tak nečiňte.
Na internetu existují desítky serverů, odkud je možné tak zvaný warez pro mobilní přístroje stahovat. Kromě toho se lze setkat s celými kolekcemi softwaru ve výměnných sítích. V archivech čítajících desítky až stovky titulů mohou být přitom nějakým způsobem "závadné" jen některé, nebo dokonce jediný. To je způsob, jak autoři nebezpečných aplikací či cracků pronikají do počítačů zkušenějších uživatelů. Ti jsou totiž schopni, ať již zběžným ohledáním dodaných souborů nebo doporučených postupů, zjistit, zda nějaký produkt je či není podezřelý, obvykle ještě dříve, než jej do svého PDA nebo mobilního telefonu fyzicky nainstalují. A pokud většina produktů od jednoho "dodavatele" vypadá jako nezávadná (a také taková je), snižuje se postupně uživatelova pozornost a nevšimne si zavirovaného nebo dokonce destruktivního kusu softwaru.
Existuje ještě jedno riziko, vycházející z pirátských programů, především s odstraněnou originální ochranou. Toto riziko znají dobře uživatelé starších operačních systémů na PC a dá se stručně popsat jako "špatný crack". Autor pirátské kopie - v dobré víře - obejde ochranu originálního produktu. Nicméně jeho upravená verze funguje správně pouze na části zařízení. V praxi se přitom může stát, že nastane situace, kdy se upravená aplikace na korektně fungujícím systému zhroutí. V případě moderních systémů na stolních počítačích již zhroucení jednoho programu obvykle nevede k vynucenému restartu, ale uživatelé PDA a zejména mobilních telefonů jsou těmto rizikům neustále vystaveni. Jejich operační systémy totiž nepočítají s možností častých selhání jednotlivých aplikací. Nesprávný zásah do přístupné paměti pak může způsobit ztrátu cenných dat. Pokud se navíc něco takového stane nepříliš zkušenému uživateli, může - jestliže nemá možnost přístupu k odborné pomoci - dojít dokonce ke znehodnocení přístroje.
Bezpečnostní hlášení nejsou pro legraci
Mobilní zařízení mají integrované mechanizmy zabezpečení. Tyto mechanizmy jsou obvykle založeny na upozorňování uživatele na možný problém. Jestliže je na PC zvykem "potvrzovat" všechna hlášení související například s instalací programů, u mobilních přístrojů (opět především u telefonů) je nutné jim věnovat maximální pozornost. Jedině tak lze předejít potenciální katastrofě v podobě červa, který na váš účet používá telekomunikační služby a z vašeho chytrého telefonu či PDA se dokonce šíří dál. Nicméně nemusí jít pouze o červa.
Dostatečně odstrašujícím příkladem uživatelské tuposti profesionála v oblasti IT budiž tento příběh: Jistý student informatiky v ČR před několika lety vyvinul velmi zajímavou a ve své podstatě užitečnou aplikaci pro mobilní telefony se systémem Palm OS, Tréo. Aplikace byla vyzkoušena jen na velmi omezeném spektru dvou přístrojů, které občas shazovala. I když k ni bylo možné přijít, před každým spuštěním (tedy nejen po instalaci) bylo zobrazeno hlášení s popisem možných rizik a seznamem kompatibilních přístrojů. Hned dva učitelé, kteří si ji z webu onoho studenta stáhli a v rámci pokusu nainstalovali na svá nekompatibilní Tréa, se dočkali tvrdého restartu.
Používejte externí zajištění
Přídavné zabezpečující programy mohou pomoci se zajištěním nepříliš vybaveného kapesního počítače či telefonu, z principu ale nejsou tak spolehlivé, jako když jsou integrovány přímo do základní výbavy přístroje. Uvažovat o nich se vyplatí, ale jen v případě, že máte přístroj obsahující skutečně citlivá data (viz výše). Nabízejí specifické a velmi silné zajištění, ale nejsou stoprocentní. To platí, jak bylo uvedeno, především v případě, kdy se podobné programy pokoušejí suplovat chybějící funkce samotného výrobku. Toto konstatování rozhodně nemá za cíl od nich, přesněji od jejich použití odrazovat.
Nedávejte kapesní počítače z ruky
Stačí chvilka nepozornosti a útočník, byť by se vydával za kamaráda, ovládne vaše přenosné zařízení a s ním i všechny obsažené informace či služby. PDA, chytrý telefon, přenosný počítač a podobné přístroje nejsou hračky. Proto nejsou určeny na hraní. Jejich cena spočívá v jejich obsahu, a proto se nepůjčují. V žádném případě byste je neměli půjčovat ani jen trochu podezřelým lidem. Většina případů ztráty dat, ale i útoků začíná jako nevinná hra a tak může vypadat i z pohledu toho, kdo vám kapesní počítač zaviruje. Reálná škoda je přitom nedozírná. Pokud si dokážete inteligentní zařízení hlídat před okolím (a v podobě instalování nebezpečných věcí i před sebou), získáváte před možnými útočníky velikou výhodu.
Platí také zásada, že čím méně nápadně se tato zařízení používají, v tím větším bezpečí jsou. Pokud máte na PDA vypnutý bezdrát a přístroj je v pouzdře na vašem těle pod oblečením, nikdo si jej nevšimne a nikdo jej nenajde. Nebude tedy nikoho lákat. Když jej, i na zdánlivě naprosto bezpečném místě, vystavíte na odiv veřejnosti, dříve nebo později přitáhne pozornost někoho, kdo s ním (s vámi) nemá jen ty nejlepší úmysly. Heslo, že příležitost dělá zloděje, platí v oboru informačních technologií stejně jako v jiných oblastech lidské existence.
Jsou mobilní přístroje v ohrožení?
Množství škodlivých kódů pro mobilní zařízení není zatím ani zdaleka tak veliké, jako počet hrozeb na PC. Přesto ale exis-
tují a je nutné je brát vážně. To neznamená, že by přístroje se systémem Symbian či Pocket PC byly nebezpečné a na odpis. Jde spíše o tak chytré a univerzální nástroje, že mohou být využity jak pro práci a zábavu, tak i k účelům mnohem méně spořádaným. A na to je nutné pamatovat. Přesto se v poslední době objevuje stále více náznaků, které můžeme považovat za reálné hrozby.
Díky tomu, že PDA nebo chytré telefony obsahují víceméně standardizované prostředí, se objevuje možnost podobných rizik, jaká jsou obvyklá na PC. Výrobci přenosných zařízení usilují o to, aby byly například vývojové kity pro jejich univerzální přístroje co nejdostupnější. Díky tomu je snadné dostat se k popisům vnitřních funkcí; je snadné pro tyto přístroje vyvíjet software. Potíž spočívá v tom, že stejně jako je možné snadno a relativně svobodně vytvořit libovolnou aplikaci, lze udělat i virus. Nebo něco ještě nebezpečnějšího.
Aktualizace majoritních operačních systémů pro přenosná zařízení v průběhu roku 2005, tedy především nová Windows Mobile, dále pak oznámení o vybudování nového Palm OS na základě GNU/Linux dávají zapravdu těm, kteří se unifikace systémů a tedy i vyšší míry jejich zneužívání obávali. Na druhou stranu ale významně přispívají k lepší použitelnosti.
Používání přenosných zařízení se však nelze bezprostředně obávat. Při dodržení výše uvedených pravidel je stále bezpečnou záležitostí. Stejně jako je možné, opět s vědomím rizik a protiopatření, používat běžné PC se systémem Microsoft Windows připojené k internetu. I když riziko, že vás někdo zaviruje, hackne nebo vykrade, existuje, lze ho snížit na únosnou úroveň. Přejeme vám proto, ať již používáte jakékoliv množství jakýchkoliv zařízení, aby byl váš život s nimi vždy jen bezpečný a aby vám sloužila výhradně ku prospěchu.
Slovníček
PDA - Personál Digital Assistant, osobní digitální asistent. Zkratka používaná pro označení kapesních počítačů s dotykovým displejem a operačním systémem. Nejběžnějšími systémy jsou Palm OS a Windows CE (Pocket PC).
Smartphone - Chytrý mobilní telefon. Zařízení na bázi mobilního telefonu, vybavené operačním systémem. Lze do něj instalovat aplikace, používat jej pro práci s dokumenty, ale primární je komunikační funkce, telefonování, posílání zpráv či výběr elektronické pošty. U smartphonů mnohem méně než u PDA záleží na synchronizaci s PC.
Komunikátor - Kombinace obou předchozích zařízení. Přístroj vybavený možnosti komunikovat s mobilní telefonní sítí a většinou vlastností PDA. Lze na něm pracovat s dokumenty, surfovat po internetu a podobně.
Infračervený port (IrDa) - Komunikace na krátkou vzdálenost, vyžaduje přímou viditelnost mezi dvěma zařízeními a jejich neměnnou polohu.
BlueTooth - Bezdrátové rozhraní, účinné do několika metrů na bázi rádiového signálu o frekvenci 2,4 GHz. Moderní verze předchozího bez nutnosti přímé viditelnosti, nevadí mu otřesy ani pohyb, zařízení se nesmí dostat mimo svůj vzájemný dosah.
Wi-Fi - Bezdrátová LAN. Zařízení se připojují k přístupovému bodu (infrastruktura) nebo k sobě navzájem (Ad Hoc). Účinnost čítá obvykle desítky metrů, technologie disponuje vysokou přenosovou rychlostí.
Používejte integrovanou ochranu
Své přenosné zařízení mějte v každém případě uzamčené na heslo nebo PIN. Systém, pokud to umožňuje, by neměl tolerovat více než tři špatné pokusy o zadání PIN, nebo nejvýše pět chyb v hesle. Pokud zařízení obsahuje ochranu pomocí biometrické informace, rozhodně ji využívejte. Fakt, že zaheslování či vynucení otisku prstku snižuje komfort práce s přístrojem, rozhodně nevyvažuje skutečnost, že takto je zařízení v mnohem větším bezpečí, než kdyby tuto ochranu nevyužívalo. Zablokování většiny zařízení může mít časovou prodlevu, odpovídající běžné době mezi dvěma použitími. Pokud se tedy heslo či PIN vyžaduje až například za půl hodiny po vypnutí přístroje, uživatele již nemusí takováto politika obtěžovat, ale současně stačí na zloděje.
V případě, že dojde k překročení povoleného počtu pokusů o autentizaci, mělo by zařízení přinejmenším vymazat veškerý obsah, a to tak, aby bylo vyloučeno jeho obnovení bez speciální techniky. Současně by ale mělo zůstat zablokováno, a to pokud možno jiným kódem, aby ani poté nebylo možné přijít na ten původní. Odblokování by mělo být možné pouze majitelem nebo servisem s tím, že paměť by bylo nutné obnovit ze zálohy.
Jestliže přístroj obsahuje možnost zálohování na vyměnitelné médium, pak kartu se zálohou hlavní paměti mějte zasunutou jen tehdy, když zálohujete nebo obnovujete. Záloha, i když je to pohodlnější, by nikdy neměla být na kartě, která se s přístrojem běžně používá. Karta se zálohou by v případě, že PDA či telefon obsahují citlivá data, neměla být ani ve stejném pouzdře. Otázku, kam s takovým médiem, poměrně elegantně řeší například jednoúčelové obaly SD/MMC karet, které se dají připnout na svazek klíčů.
Samotná záloha, jestliže to příslušný software umožňuje, by měla být jednoznačně zašifrována. Proces šifrování sice zálohování a obnovu ze zálohy zpomaluje, avšak bez něj je sebelepší heslo na hlavním zařízení prakticky k ničemu. Heslo, jímž je záloha zabezpečena, by v žádném případě nemělo být stejné jako to, které se používá pro uzamykání samotného přístroje. Důvodem je, že zálohu, o jejíž prolomení se lze pokusit neomezeně, je možné použít jako prostředek k prolomení kódu do samotného zařízení (kde je omezený počet pokusů).
Nechte BlueTooth pokud možno vypnutý.
Podoba tohoto programu v telefonu se systémem Symbian.
Antivirový program pro mobilní zařízení.
Stav antiviru v mobilním telefonu.
Aplikace TealLock zajistí vyšší úroveň zabezpečení.
Podoba tohoto programu v PDA.
Aktualizace antiviru.
Domácí stránka antiviru pro kapesní počítače.
Program SanDisk Rescue Pro.
Příběh jedné SD karty
SD karty (Secure Digital) patří mezi nejoblíbenější paměťová média. Jsou spolu s kartami MMC, s nimiž jsou kompatibilní, nesmírně rozšířené v mobilních telefonech, v chytrých zařízeních a samozřejmě v PDA. Poměrně málo se ale ví o tom, jak jsou ve skutečnosti data na těchto kartách trvanlivá. Prosté vymazání souboru z paměti karty pomocí funkce v běžném PC či v přístroji, do kterého je zasunuta, s ním prakticky nic neudělá. Pro obnovení stačí běžně dostupný nástroj a čtečka. Totéž platí i tehdy, když kartu standardní funkcí hostitelského zařízení nebo počítače formátujete.
Bezpečným vymazáním souboru funkcí určenou pro tyto účely se šance na jeho obnovení snižuje, ale v žádném případě úplně neeliminuje. Existují speciální aplikace, určené právě pro paměťové karty, které jsou schopny obnovit části obsahu i při několikanásobném zformátování. Pokud program pro mazání přepíše (přesněji se pokusí přepsat) původní umístění souboru náhodnými znaky, sice tím jeho obnovení zkomplikuje, ale neznemožní.
Z předchozího jednoznačně vyplývá, že pokud chcete používat paměťové karty, které jsou velmi oblíbené a prodáváné jako příslušenství k přenosným zařízením, je vhodné myslet i na jejich bezpečnost. Hlavně v případě, že se chystáte kartu prodat a nechcete, aby nový majitel obnovil všechna vaše data, v žádném případě nepomůže jednoduché formátování funkcí v přístroji. Kartu je potřeba vymazat pomocí specializované aplikace, nejlépe ve čtečce pro PC. Díky tomu získáte největší jistotu, že spolu s nepotřebným kusem hardwaru nedáváte novému majiteli kupříkladu kompletní zálohu PDA. Tu je totiž možné na kartě obnovit a následně vrátit do původního zařízení. V tom případě ale pochopitelně nepomůže ani tvrdý restart.
Byla jedna SD karta, kterou autor tohoto článku kdysi koupil za pár stokorun na inzerát. Předchozí majitel ji sice před odesláním poštou zformátoval a pečlivě uložil do obalu, ale aplikace SanDisk Rescue Pro si s kartou téže značky snadno poradila. Kromě toho, že se podařilo obnovit zálohu postaršího iPaqu, která se na ni nacházela v nezašifrované podobě, bylo na kartě i několik "zajímavých" textových dokumentů. Vrcholem všeho byly sice špatně obnovitelné, protože již přepsané, ale stále použitelné fotografie. Ty si majitel karty - a jeho přítelkyně - udělali, řekněme, pro svoji potřebu. To, že zachycují skutečně bývalého majitele, bylo možné porovnáním s dostupnými obrázky na internetu velmi snadné ověřit.
Po zkušenostech s touto konkrétní kartou jsme experimentálně prozkoumali stejným softwarem dvě karty zakoupené v bazaru s počítačovými součástmi. Zatímco jedna obsahovala pouze zbytky fotografií rodinné oslavy, které se nikdo ani nepokoušel vymazat, druhá - na pohled čerstvě zformátovaná - měla v kořenovém adresáři hned tři elektronické certifikáty v transportním formátu. U těchto souborů je přitom možné prolomit transportní heslo prostřednictvím metody útoku brutální silou. Sice to chvíli trvá, ale úsilí většinou vede k úspěchu.
Citlivost informací uložených v přenosných zařízeních
1 - nejméně zneužitelná
8 - nejvíce zneužitelná
Telefonní seznam 5
PIM (kalendář, úkoly) 4
PIM (běžné poznámky) 5
PIM (poznámky osobního charakteru, citlivé informace) 7
Čísla kreditních karet, hesla 8
Informace o příbuzných, blízkých přátelích 7
Data z pracovních IS, počítačů 7
Údaje o konkurenci 6
Hlavní rizika mobilních zařízení
Chytré telefony
• Krádež zařízení a dat.
• Dálkové zneužití placené služby (volání nebo data na cizí účet).
• Dálková krádež citlivých dat (SMS, telefonního seznamu).
• Napadení červem pomocí mobilní sítě nebo lokální komunikace.
PDA
• Platí totéž co pro chytré telefony, navíc pak:
?• Zneužití výpočetního výkonu zařízení.
?• Zneužití zařízení pro sledování oběti (opět možné i u chytrých telefonů).
PŘEDPLATNÉ
ČLÁNKY DO MAILU